2012年4月起至今,某境外黑客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人群傳播特種木馬程序,秘密控制部分政府人員、外包商和行業專家的電腦系統,竊取系統中相關領域的機密資料。
根據該組織的某些攻擊特點,我們將其命名為OceanLotus。
目前已經捕獲的與OceanLotus相關的第一個特種木馬出現在2012年4月。在此后的3年中,我們又先后捕獲了與該組織相關的4種不同形態的特種木馬程序樣本100余個,這些木馬的感染者遍布國內29個省級行政區和境外的36個國家。此外,為了隱蔽行蹤,該組織還至少先后在6個國家注冊了用于遠程控制被感染者的C2(也稱C&C,是Command and Control的縮寫)服務器域名35個,相關服務器IP地址19個,服務器分布在全球13個以上的不同國家。
從OceanLotus發動攻擊的歷史來看,以下時間點和重大事件最值得關注:
通過對OceanLotus組織數年活動情況的跟蹤與取證,我們已經確認了大量的受害者。下圖為2014年2月至今,全球每月感染OceanLotus特種木馬的電腦數量趨勢分布。
從地域分布上看,OceanLotus特種木馬的境內感染者占全球感染總量的92.3%。而在境內感染者中,北京地區最多,占22.7%,天津次之,為15.5%。
下圖為境內OceanLotus特種木馬感染者數量地域分布圖。
技術分析顯示,初期的OceanLotus特種木馬技術并不復雜,比較容易發現和查殺。但到了2014年以后,OceanLotus特種木馬開始采用包括文件偽裝、隨機加密和自我銷毀等一系列復雜的攻擊技術與安全軟件進行對抗,查殺和捕捉的難度大大增加。而到了2014年11月以后,OceanLotus特種木馬開始轉向云控技術,攻擊的危險性、不確定性與木馬識別查殺的難度都大大增強。
綜合來看,OceanLotus組織的攻擊周期之長(持續3年以上)、攻擊目標之明確、攻擊技術之復雜、社工手段之精準,都說明該組織絕非一般的民間黑客組織,而很有可能是具有國外政府支持背景的、高度組織化的、專業化的境外國家級黑客組織。
OceanLotus主要使用兩類攻擊手法,一類是魚叉攻擊,一類是水坑攻擊。
魚叉攻擊(Spear Phishing)是針對特定組織的網絡欺詐行為,目的是不通過授權訪問機密數據,最常見的方法是將木馬程序作為電子郵件的附件發送給特定的攻擊目標,并誘使目標打開附件。
水坑攻擊(Water Holing)是指黑客通過分析攻擊目標的網絡活動規律,尋找攻擊目標經常訪問的網站的弱點,先攻下該網站并植入攻擊代碼,等待攻擊目標訪問該網站時實施攻擊。
下圖給出了OceanLotus使用魚叉攻擊和水坑攻擊的基本方法。
從目前受害者遭到攻擊的情況看,魚叉攻擊占58.6%,水坑攻擊占41.4%。
下圖給出了因魚叉攻擊或水坑攻擊而感染OceanLotus特種木馬的電腦數量歷史分布。從圖中可以看出,魚叉攻擊的最高峰出現在2014年5月,而水坑攻擊的最高峰出現在2015年1月。此外,2014年5月和2014年9月也是兩個水坑攻擊的高峰期。
OceanLotus組織會非常有針對性地挑選目標機構,并收集目標機構人員的郵箱信息,再通過向這些郵箱中投遞惡意郵件實現定向攻擊。當受害者不小心點擊執行郵件附件后,電腦就會感染OceanLotus特種木馬,木馬與C2服務器相連接后,用戶系統由此就落入OceanLotus組織的控制網絡中。監測顯示,從2014年2月至今,OceanLotus的魚叉攻擊始終沒有停止,每個月都有新的受害者增加。
在OceanLotus用于進行魚叉攻擊的郵件中(以下簡稱“魚叉郵件”),附件通常是使用Microsoft Word程序圖標的.exe可執行文件,為了提高攻擊的成功率,攻擊者通常會采用當前熱點事件或關乎用戶自身利益的話題為文件名,甚至有的文件名與所攻擊的目標機構看起來有密切關聯,形成非常顯著的定向APT攻擊的特征。以下是兩個具體的例子:
新疆烏魯木齊暴恐事件相關魚叉郵件 2014年5月22日,中國新疆烏魯木齊發生了暴恐事件。而5月28日,我們就捕獲到了一個名為“最新新疆暴動照片與信.jpg.exe”的釣魚文件通過電子郵箱進行發送。
公務員工資改革相關內容魚叉郵件 2014年至2015年間,中國政府出臺了《公務員工資改革新方案》,該方案直接影響政府機關從業人員。中國約有700多萬公務員,公務員工資改革很長一段時間內,是政府機關人員輿論的熱點話題。
2014年9月9日,我們截獲名為“工資制度以及特殊津貼.exe”的惡意郵件附件;2014年11月5日,我們又截獲名為“工資待遇政策的通知.exe”的惡意郵件附件。在此期間,還有其他類似的惡意郵件附件被截獲。而分析顯示,這些郵件全部為OceanLotus組織向政府工作人員投遞的魚叉郵件。
通過不間斷地對該組織的魚叉郵件進行跟蹤分析,據最近的統計數據顯示,OceanLotus組織最常使用的附件存在一定的規律:郵件內容和附件的命名與海洋相關企事業機構建設、海洋資源、中國的黨政機關、科研院所等密切關聯,部分文件列表如下(有關機構名稱及敏感內容用“*”代替):
相關文件名
關于國家***研究中心工程建設的函.exe
國家**局的緊急通報.exe
最新新疆暴動照片與信息.jpg.exe
本周工作小結及下周工作計劃.exe
***廳關于印發《2014年***應急管理工作要點》的通知.exe
2015年1月12日下發的緊急通知.exe
商量好的合同.exe
***部關于開展2015年***調查工作的通知.exe
一些特種木馬的惡意樣本之所以會使用很長的文件名,一個重要的原因是利用Windows的文件名顯示機制使文件后綴“.exe”不會自動被顯示出來。所以,對于絕大多數文件接受者來說,即使電腦系統設置為顯示文件后綴名,也很有可能因為文件名過長而使文件后綴名不能正常顯示。
統計還顯示,OceanLotus發動的魚叉攻擊也具有很強的時間性和周期性。在一周7天中,工作日,即星期一至星期五截獲的魚叉攻擊數量較多,而周末截獲的魚叉攻擊數量則往往不及工作日的1/5。
OceanLotus組織在設置水坑時,主要采用兩類方式:一是入侵與目標關的Web應用系統,替換正常文件或引誘下載偽造的正常應用升級包,以實現在目標用戶系統上執行惡意代碼的目的;二是入侵與目標相關的Web應用系統后,篡改其中鏈接,使其指向OceanLotus設置的惡意網址,并在指向的惡意網址上設置木馬下載鏈接。
為了避免暴露,OceanLotus發動水坑攻擊的持續周期一般很短,通常是在3-5天之內,幾天之后攻擊完成,OceanLotus就會將篡改的內容刪除或恢復,將設置的水坑陷阱填平。因此,通常來說,想要事后復原水坑攻擊的現場比較困難。 下面是通過技術手段恢復的兩個OceanLotus組織設置的典型水坑案例。
水坑A
OceanLotus組織首先通過滲透入侵的攻擊方式非法獲得某機構的文檔交流服務器的控制權,接著,在服務器后臺對網站上的“即時通”和“證書驅動”兩款軟件的正常安裝文件捆綁了自己的木馬程序,之后,當有用戶下載并安裝即時通或證書驅動軟件時,木馬就有機會得到執行。攻擊者還在被篡改的服務器頁面中插入了惡意的腳本代碼,用戶訪問網站時,會彈出提示更新Flash軟件,但實際提供的是偽裝成Flash升級包的惡意程序,用戶如果不慎下載執行就會中招。
下圖為用戶訪問該水坑站點時,攻擊者的JS代碼生成的提示用戶下載執行偽造Flash升級包的頁面。
該組織的專業之處還體現在,水坑攻擊會識別訪問來源的操作系統平臺,并根據客戶端返回的系統信息,返回針對不同平臺的惡意代碼。在Windows平臺下我們使用不同的瀏覽器訪問該頁面都會提示下載名為“install_flashplayer.exe”的更新文件;當操作系統為Mac OS時,水坑則向Safari瀏覽器推送能在MAC OS環境中運行的惡意更新程序“install_flashplayer_mac.zip”。
水坑B
被入侵的網站是一個政府站點,主要面向海洋相關研究類人員、專家提供文獻下載、研究項目發稿和相關時事通告等功能。OceanLotus組織入侵網站以后修改了網站的程序,在用戶訪問公告信息時會被重定向到一個攻擊者控制的網站,提示下載某個看起來是新聞的文件,比如在新疆522暴恐事件的第二天網站就提示和暴恐事件相關的新聞,并提供“烏魯木齊7時50分發生爆炸致多人傷亡.rar”壓縮包給用戶下載,而該壓縮包文件內含的就是OceanLotus組織的特種木馬。
在該政府網站上,當用戶點擊某個通告鏈接時會提示文件下載,如下圖:
提示框中的download.mail-attach.net為組織控制的服務器,將下載的“烏魯木齊7時50分發生爆炸致多人傷亡.rar”壓縮包文件解壓后,可以看到文件夾內包含顯示為JPG圖片圖標的exe可執行文件。若此時目標用戶點擊該文件,系統就會被感染。如下為部分下載回來的文件列表:
與此同時,在該服務器水坑文件同級目錄下還發現存放了部分用于魚叉攻擊的惡意代碼,證實了這起水坑攻擊與之前提及的魚叉攻擊為同一組織發起。如下是部分文件列表:
通過對該組織水坑式攻擊手法的跟蹤分析,發現該組織如果有機會入侵與目標相關的服務器,就會盡可能替換服務器上可能被下載的正常程序,誘騙用戶下載并執行偽造的應用升級包。
下表為部分水坑服務器中出現的惡意文件:
文件名 文件MD5
install_flashplayer.exe 7e68371ba3a988ff88e0fb54e2507f0d
rtx.exe 0529b1d393f405bc2b2b33709dd57153
sinopec.exe 9fea62c042a8eda1d3f5ae54bad1e959
報表插件安裝程序.exe 486bb089b22998ec2560afa59008eafa
USBDeview.exe b778d0de33b66ffdaaf76ba01e7c5b7b
DSC00229.exe 53e5718adf6f5feb2e3bb3396a229ba8
install_flashplayer13x37.exe d39edc7922054a0f14a5b000a28e3329
NetcaEKeyClient.exe 41bced8c65c5822d43cadad7d1dc49fd
從目前截獲OceanLotus發動的水坑攻擊的情況來看,每周的周一和周二感染者數量最多。分析認為,這可能是因為攻擊者認真研究了政府和科研機構等工作人員的上網習慣。由于水坑攻擊容易將組織信息泄漏,因此,OceanLotus每發動一次水坑攻擊的周期一般都不會超過3天。而如果要使3天的攻擊更加有效,就需要考慮攻擊目標會在一周中的哪些天更容易訪問水坑網站。由于中國政府和研究機構的工作人員往往有在星期一、二登錄辦公系統查詢重大內部新聞和通知的習慣,所以在一周的前兩天發動水坑攻擊,效果相對更好。
為了隱藏自己的真實身份,OceanLotus組織經常變換下載服務器和C2服務器的域名和IP。統計顯示,在過去的3年中,該組織至少使用了C2服務器域名35個,相關服務器IP地址19個。而且大多數域名為了抵抗溯源都開啟了Whois域名隱藏,使得分析人員很難知道惡意域名背后的注冊者是誰。下圖給出了OceanLotus注冊各個域名時間點信息。
通過對攻擊活動相關域名的統計,我們按注冊時間的先后順序對各個域名做了排序。時間線疏密程度顯示該組織在2014年2月至2014年4月申請了大量的新域名。域名的生命周期如下圖所示:
這些惡意域名的注冊地和服務器也分布在世界各地。從注冊地來看,最大的注冊地是巴哈馬10個,其次是美國4個,尼日利亞3個。從服務器實際所在地來看,美國和烏克蘭最多,各5個,其次是瑞典4個,以色列3個。
按時間先后順序排列,部分較活躍的域名詳情如下:
#!bash
域名 綁定IP 注冊時間 用途
pad.werzo.net 185.29.8.39 2012/4/17 C2,Mac OS
shop.ownpro.net 185.29.8.39 2012/4/17 C2,Mac OS
ssl.sfashi.com 176.31.22.77 2012/11/7 C2
kiifd.pozon7.net 173.208.157.117 2013/1/8 C2,Mac OS
cdn.libjs.co 62.113.238.135 2013/9/6 C2
sin04s01.listpaz.com 193.169.244.73 2013/11/12 C2
high.expbas.net 91.229.77.179 2014/1/22 C2
img.fanspeed.net 2014/2/8 C2
active.soariz.com 193.169.244.73 2014/2/20 C2
zone.mizove.com 193.169.244.73 2014/2/20 C2
dc.jaomao69.info 146.0.43.107 2014/3/14 Downloader
cdn.jaomao69.info 146.0.43.107 2014/3/14 C2
download.mail-attach.net 2014/4/2 Downloader
cnf.flashads.org 128.127.106.243 2014/4/3 釣魚服務器
cn.flashads.org 128.127.106.243 2014/4/3 釣魚服務器,
Downloader,DNS
cv.flashads.org 128.127.106.243 2014/4/3 釣魚服務器
cp.flashads.org 128.127.106.243 2014/4/3 釣魚服務器
fpdownload.shockwave.flashads.org 128.127.106.243 2014/4/3 Downloader
authen.mail.hairunaw.com.l.main.userapp.org 192.187.120.45 2014/4/8 Downloader
jsquery.net 64.62.174.176 2014/4/8 C2
gs.kroger7.net 167.114.184.117 2014/5/16 C2
autoupdate.adobe.com 通過域名劫持偽造的Adobe子域名,用于繞過安全檢查措施,更新受感染系統上的惡意程序
從具體的攻擊技術來看,OceanLotus先后使用過4種主要形態的特種木馬,其中3種是Windows木馬,一種是MAC系統木馬。雖然這4種形態的木馬均是以竊取感染目標電腦中的機密數據為目的的,但從攻擊原理和攻擊方式來看,卻有著很大的區別。特別是針對Windows系統的3種特種木馬形態,其出現時間有先有后,危險程度不斷升級,攻擊方式從簡單到復雜、從本地到云控,可以讓我們清楚的看到該組織木馬的技術發展脈絡和攻擊思路的不斷轉變。
根據這4種木馬形態的攻擊特點,我們將其分別命名為:OceanLotus Tester,OceanLotus Encryptor,OceanLotus Cloudrunner,OceanLotus MAC。
下面就針對OceanLotus特種木馬的4種基本形態逐一進行技術分析。
OceanLotus Tester最早被捕獲于2012年,是一種比較簡單的木馬,與民用領域所見的一般間諜程序差別不大,安全軟件也比較容易將其識別出來。從歷史監測的數據來看,Tester的感染量微乎其微,在早期被捕獲以后,長期處于不活躍的狀態,在當時屬于孤立出現的木馬樣本。
但是,在我們對OceanLotus特種木馬的其他幾個形態進行關聯性分析時發現,早期出現的Tester木馬在攻擊對象、文件偽裝特征、連接的C2服務器域名和竊取文件的特征等方面,與后來捕獲的其他3種木馬形態的樣本存在諸多交集和共同點。我們因此判定,早期的Tester木馬樣本也屬于OceanLotus這個組織所有。
我們猜測,Tester可能并不是OceanLotus組織正式使用的數字武器,很有可能僅僅是該組織成立初期,用以進行模擬攻擊演練,以確定攻擊體系可行性時所使用的一些測試代碼。
Encryptor木馬最早被截獲于2014年2月。當時,安全人員截獲了一批將自身圖標偽裝成Word文檔或JPG文檔的“.exe”文件,而且這些文件都還使用了一些頗具迷惑性的社工類文件名。下圖就是Encryptor木馬的某個樣本偽裝成文件名為“商量好的合同”的Word文檔后,查看文件屬性時的截圖。其實仔細觀看不難發現,文件的真實類型是應用程序(.exe)。
Encryptor木馬的主要作用是打包和向C2服務器上傳電腦中存在的各種Office文檔,包括Word、PPT、Outlook郵箱文件等。而從攻擊技術上來看,Encryptor木馬最明顯的特點就是會對自己的數據區進行隨機遞歸加密處理,從而大大增加安全軟件對其進行識別的難度。
一旦有人下載并打開了Encryptor木馬文件,這個木馬就會通過以下一系列復雜的過程來進行自我釋放。以偽裝成Word文檔的樣本為例: 木馬會首先釋放出一個文件內容與文件名相符的Word文檔,并在桌面上生成快捷方式,以迷惑受害者,接著解密釋放出真正的木馬程序,解密過程中使用了64位強密鑰來繞過傳統殺毒軟件。木馬一旦運行,就會自我刪除釋放代碼的母體,因此很難捕獲到這個木馬的樣本。
木馬程序會用2種方法嘗試加載名為Bundle.rdb的通信模塊:自身加載或注入到一個系統進程,而Bundle.rdb木馬模塊一旦加載起來,就會和控制端通信完成C2通道的建立。這個程序也經過了一些精心的偽裝。單獨看其文件屬性,稍不注意也會以為它就是QQ軟件。整個木馬的加載過程實際上就是一個木馬與安全軟件進行對抗的過程。不過,除了上述內容外,Encryptor還采用了填充垃圾數據的方法與安全軟件進行對抗。例如用0x00或其他隨機字符填充了十幾M的文件內容,使得文件體積過大,從而避免樣本被云系統上傳。
Cloudrunner木馬最早被截獲于2014年11月。與之前的Encryptor木馬不同,Cloudrunner木馬只是一個體量很小的可執行文件,木馬本身不顯現任何惡意特征,在完成初始的感染以后,卻會自動從指定的服務器上將其他木馬程序下載到被感染的電腦上。這種攻擊方式具有明顯的云控特點。攻擊者可以根據不同的需要,向被感染的電腦上發送各種不同的木馬,從而使攻擊更加隱蔽,也更具危險性。下圖為查看該類木馬文件的屬性截圖。
從木馬特點上來看,此木馬采用了Shellcode加密,解密執行,然后從網絡下載接收第二階段的木馬功能模塊,使木馬在用戶系統上的痕跡盡可能最小化,以逃避防惡意代碼工具的查殺,并實現類似云控制的靈活性。具體的信息收集及其他惡意操作以插件的方式投放到受感染的系統上并執行,功能包含如下表所列:
#!bash
上傳類別 具體內容
即時通信記錄 Yahoo、QQ、Skype等
郵件數據 ThunderBird、Foxmail、Mailease、MS Live、Outlook
文件信息 安裝程序、近期訪問、驅動器目錄
系統信息 賬戶、IP、共享、進程列表、網絡連接
屏幕監控
網絡流量監視
OceanLotus MAC與OceanLotus Encryptor大致出現在同一時期,二者都屬于OceanLotus使用的第二代木馬程序。MAC木馬主要針對Mac OS系統,主要作用是在水坑網站中誘騙用戶下載執行。在APT攻擊中,使用針對蘋果操作系統的木馬并不多見。
下面以某個樣本為例來具體介紹MAC木馬的攻擊過程。
例子樣本MD5:9831a7bfcf595351206a2ea5679fa65e 文件FlashUpdate.app\Contents\MacOS\EmptyApplication是一個Loader,
負責解密以下兩個文件: FlashUpdate.app\Contents\Resources\en.lproj.en_icon FlashUpdate.app\Contents\Resources\en.lproj.DS_Stores .en_icon相當于木馬自身的副本,.DS_Stores是真正的執行體,解密并執行完這兩個文件后,EmptyApplication會刪除自身。 .DS_Stores程序會連接如下3個C2服務器域名:kiifd.pozon7.net,pad.werzo.net,shop.ownpro.net,并實現如下一系列的遠程控制功能:
#!bash
功能 命令
列目錄 ls [path]
進入目錄 cd [path]
獲取當前目錄 Pwd
刪除文件 rm <file_path>
復制文件 cp <srcppath> <dstpath>
移動文件 mv <srcpath> <dstpath>
獲取進程信息 p {info:pid | ppid | name}
殺掉進程 kill <pid>
執行命令 cmd <command system>
抓取通信 capture <saved_path>
顯示文件 cat path [num_byte]
下載文件 download fromURLsavePath
MAC木馬也具有較強對抗能力,具體包括以下幾個方面:
通過對OceanLotus組織所使用的惡意代碼、攻擊載荷和誘餌數據的分析,該組織內部可能有多個小組,每個小組有自己的分工。組織中各組可能針對性地收集社工信息、開發定制的工具以及對竊取的情報進行集中二次處理挖掘,各個環節緊密配合,并在其內部共享竊取的情報信息和攻擊載荷。概括來說,要達到目前已知的攻擊效果,該組織至少應該具備如下能力:
對應到以上的3種能力,我們推測OceanLotus組織很可能存在3個小組,其基本能力及任務分工大致如下:
此外,考慮到OceanLotus組織制作的特種木馬大多使用中文名稱,而且往往緊貼中國國內最新時政變化,所以,該組織中一定有精通中文、了解中國國情的人專門從事有針對性的社會工程學研究。 ?
隨著“互聯網+”時代的到來,越來越多的政府機構和企事業單位實現了網絡化辦公,并將內部的辦公網絡與外部的互聯網相連。企業的互聯網化在提高企業辦公效率的同時,也使內部網絡面臨著越來越多的來自全球各地不同目的攻擊者的網絡攻擊。
事實上,針對政府、機構和企業的APT攻擊每天都在發生,甚至可以說,APT攻擊就潛藏在我們每一個人的身邊。OceanLotus也只不過是我們目前已經捕獲到的數十起APT事件中的一個典型案例而已。
目前,已經有一些國際知名的安全企業,如FireEye、卡巴斯基等針對APT攻擊展開了相關研究,并發布了相關的研究報告。而在國內,關于APT攻擊的專業研究資料目前還非常有限。
造成這種狀況的原因之一,是APT攻擊具有很強的隱蔽性、針對性和對抗性特點,使用一般民用防御手段和木馬查殺技術很難發現。針對APT攻擊的捕獲和檢測技術也成為了近年來國內外安全公司和研究機構關注的焦點。
天眼實驗室借助360公司多年在木馬病毒、漏洞攻擊的對抗過程中積累的經驗,針對特種木馬、0day/Nday漏洞攻擊的檢測和對抗等方面都進行了大量的探索和實踐,使得運用這些特種木馬或漏洞進行的APT攻擊在我們的天眼系統中現形。
當然,除了針對特定的高級APT攻擊過程的檢測和防御外,目前捕獲和研究APT攻擊還面臨著一個更大的挑戰:如何將不同時間、不同地點、不同人群遭到的各種不同形式的網絡攻擊事件關聯起來,形成一個APT攻擊的全貌。目前國外關于APT攻擊的研究也大多集中在對個別目標實體的、短周期攻擊過程的研究上,很少有機構能夠進行較大時間尺度和較大地域范圍內的APT攻擊研究。
OceanLotus所發動的APT攻擊,攻擊周期長達3年之久,攻擊地域遍布國內29個省級行政區和境外的36個國家,魚叉攻擊、水坑攻擊,前后不下幾十個輪次,被黑網站也多達十幾個。而且在這3年多里,OceanLotus還先后使用了至少4種不同程序形態、不同編碼風格和不同攻擊原理的木馬程序,惡意服務器遍布全球13個國家,注冊的已知域名多達35個。
因此,對于OceanLotus發動的這種范圍大、時間長,但目的明確、目標精準的APT攻擊,如果單獨依靠傳統的各種局部檢測與防御技術,即便能夠發現一些零星的攻擊事件和病毒樣本,也很難復原整個APT攻擊的全貌。
天眼實驗室此次捕獲的OceanLotus組織及其攻擊,主要使用了多維度大數據關聯分析的方法。我們將百億級的惡意程序樣本庫、數億級的安全終端的防護數據、PB級的搜索引擎的全網抓取數據以及其他多個維度的互聯網大數據進行了關聯分析和歷史檢索,最終在每天海量的網絡攻擊事件中定位出與OceanLotus相關的各種攻擊事件和攻擊元素,最終繪制出OceanLotus組織對我國境內目標發動APT攻擊的全貌。
目前,能夠在實踐中使用大數據方法分析定位APT攻擊的研究機構并不多,同時,具有互聯網大數據的處理與分析能力和高級攻防對抗經驗的安全企業寥寥。天眼實驗室針對未知威脅和APT攻擊的研究是建立在360公司多年積累的安全大數據和互聯網安全技術方法的基礎之上的,因此能夠捕獲一些以往國內外其他研究者無法發現的威脅元素,并進行事件關聯分析。我們也希望能夠通過這種新的基于大數據的互聯網安全研究成果,給其他網絡安全工作者提供一些有益的參考和幫助。